Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na mBank karę przekraczającą 4 miliony złotych za niedopełnienie obowiązku poinformowania poszkodowanych o wycieku danych osobowych.
Choć kara może wydawać się ogromna, w rzeczywistości stanowi jedynie drobną część obrotów banku.
Fatalny błąd
Całe zdarzenie miało miejsce ponad 2 lata temu. Właśnie wtedy dane osobowe części klientów mBanku trafiły do nieuprawnionego odbiorcy. Incydent wyniknął z błędu pracownika firmy przetwarzającej dane na zlecenie banku, który omyłkowo przesłał dokumenty do innej instytucji.
Chociaż dokumenty wróciły do banku, koperta została już otwarta, co stwarzało ryzyko, że osoby trzecie miały wgląd w zawarte w nich dane. W dokumentach znajdowały się takie informacje jak: imię i nazwisko, PESEL, adres zamieszkania, zarobki, numer rachunku bankowego, a także seria i numer dowodu osobistego.
Nie poinformował, bo uznał, że nie musi
Bank tłumaczył, że omyłkowo wysłane dokumenty trafiły do instytucji, która również objęta jest tajemnicą bankową i współpracuje z mBankiem, a jej pracownicy potwierdzili brak posiadania kopii dokumentów przekazanych im w wyniku pomyłki. Zdaniem banku w związku z tym incydentu nie trzeba było zgłaszać klientom.
Prezes UODO jednak nie zgodził się z tą argumentacją. Jak stwierdził, nawet jeśli dokumenty trafiły do zaufanej instytucji, to nie zmienia to faktu, że osoby, których dane wyciekły, powinny zostać o tym poinformowane.
UODO to nie przekonuje
Prezes UODO uznał, że działanie banku naraziło klientów na poważne ryzyko. Brak informacji o wycieku uniemożliwił im podjęcie działań zapobiegających ewentualnym negatywnym skutkom. UODO podkreślił, że ochrona innych tajemnic, takich jak tajemnica bankowa, nie zwalnia banku z obowiązku stosowania RODO. Prezes UODO uważa, że postępowanie mBanku to przykład lekceważenia praw osób, których dane są przetwarzane.
Maksymalna kara, jaką bank mógłby otrzymać, wynosiła 337 milionów złotych. Tak więc, nałożona na bank finansowa reprymenda i tak jest stosunkowo łagodna.
